Contexte : Vous reprenez une API interne qui utilise des JWT pour protéger ses endpoints REST. Le Problème : Un audit révèle que certains tokens falsifiés sont acceptés. La validation actuelle ne force pas l’algorithme de signature. Contraintes : Vous devez corriger uniquement la logique de validation sans modifier le mécanisme d’émission des tokens. L’API doit continuer à accepter uniquement des tokens signés en HS256. Code actuel : const jwt = require("jsonwebtoken"); function verifyToken(token) { return jwt.verify(token, process.env.JWT_SECRET); } Livrable attendu : Corriger la fonction pour forcer explicitement l’algorithme autorisé et rejeter tout token utilisant "none" ou un autre algorithme non prévu.